Linux -- Samba访问控制

364twefwq

访问控制（1）
在6.3.3节中主要是针对某些特定用户使用共享资源权限的控制，其管理主体为用户。如果需要针对主机进行控制，方法也比较多，可以使用IPTables（具体见第17章），也可以使用Samba服务自身的控制。其实Samba所提供的访问控制功能已经非常强大。Samba的访问控制通过hosts allow（配置允许访问的客户端）、hosts deny（配置拒绝访问的客户端）两个参数实现。
在Samba中使用hosts allow、hosts deny参数时，该参数可以出现在全局配置部分（如图6-31所示），用于允许或拒绝可连接到Samba服务器的客户端，也可以出现在具体的共享资源配置中（如图6-32所示）用于允许或拒绝可访问该资源的客户端。如果在全局配置部分的hosts allow、hosts deny与具体共享资源的配置发生冲突时会怎么样呢？通过Samba的工作过程不难看出Samba客户端首先要可以连接到Samba服务器，才能访问其共享资源，所有全局配置部分的hosts allow、hosts deny优先级与具体共享资源的配置发生冲突时使用以下规则。
（1）全局配置中hosts deny指定客户端，此时无法访问Samba服务器任何共享资源。
（2）全局配置中hosts allow指定客户端，分以下几种情况。
①：如具体共享资源中只指定了hosts deny且与全局配置不冲突时，客户端可以访问具体共享资源。





②：如具体共享资源中只指定了hosts allow且是全局配置的子集时，只有具体共享资源中指定的客户端可以访问。
③：如具体共享资源中即指定了hosts allow又指定了hosts deny时，首先根据hosts allow与hosts deny生效规则得出具体共享资源允许或拒绝的客户端，再根据上面两条规则得出最终的结果。
如果全局配置内或具体共享资源内的hosts allow与hosts deny发生冲突时会使用以下规则。
（1）如果hosts deny与hosts allow发生冲突时，hosts allow优先。
（2）如果只有hosts allow，除了hosts allow中指定的客户端外其他所有客户端都不能访问。
（3）如果只有hosts deny，除了hosts deny中指定的客户端外其他所有客户都可以访问。
1．使用IP地址控制
在hosts allow及hosts deny时，可通过使用IP地址精确允许或拒绝特定客户端访问Samba服务器，下面看几个例子。
（1）不允许IP地址为192.168.0.20的客户端访问Samba服务器上smbtest目录。

[smbtest]       comment = This is smb test       path = /test       hosts deny = 192.168.0.20（2）只允许IP地址为192.168.0.25的客户端访Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       hosts allow = 192.168.0.20（3）下面的例子中，IP地址为192.168.0.99的客户端可以访问Samba服务器上的smbtest目录吗？当然是允许访问，为什么呢？因为在Samba中hosts allow比hosts deny优先级要高。
[smbtest]       comment = This is smb test       path = /test       hosts allow = 192.168.0.99       hosts deny = 192.168.0.992．使用网段控制
在hosts allow及hosts deny时，可通过使用子网允许或拒绝特定客户端访问Samba服务器，在表示子网时可以使用192.168.0./24、192.168.0.或192.168.0.0/255.255.255.0表示192.168.0.0子网掩码24位子网。下面看几个例子。
（1）不允许192.168.0.0/24所有客户端访问Samba服务器上smbtest目录。

[smbtest]       comment = This is smb test       path = /test       hosts deny = 192.168.0.（2）只允许192.168.0.0/24所有客户端访Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       hosts allow = 192.168.0.（3）不允许192.168.0.0/24但不包括192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       hosts deny = 192.168.0.       hosts allow = 192.168.0.99（4）只允许192.168.0.0/24但不包括192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       # EXCEPT参数表示不包括。       hosts allow = 192.168.0. EXCEPT 192.168.0.99
访问控制（2）
3．使用域名控制
在hosts allow及hosts deny时，可通过使用域名允许或拒绝特定客户端访问Samba服务器，在表示域名时可以使用FQDN表示某个具体的客户端或用域名表示某个域的所有客户端。下面看几个例子。
（1）不允许FQDN为client1.example.com的客户端访问Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       hosts deny = client1.example.com.  （2）只允许example.com域的所有客户端访（2）只允许example.com域的所有客户端访问Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       hosts deny =.example.com（3）不允许example.com区域但不包括192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       hosts deny = .example.com       hosts allow = 192.168.0.99（4）只允许example.com但不包括IP地址为192.168.0.99的客户端访问Samba服务器上smbtest目录。
[smbtest]       comment = This is smb test       path = /test       hosts allow = .example.com EXCEPT 192.168.0.994．使用通配符控制
在hosts allow及hosts deny时，可通过使用通配符代表特定客户端集。可以使用的通配符主要有：ALL表示所有客户端，*表示任何个字符，？表示一个字符，LOCAL表示本地计算机。下面看几个例子。
（1）拒绝除了192.168.0.99及192.168.0.100以外的所有客户端访问Samba服务器上smbtest目录。

[smbtest]       comment = This is smb test       path = /test       hosts deny = ALL      #多个匹配条件区用空格分隔。       hosts allow = 192.168.0.99 192.168.0.100（2）除了192.168.0.0/24网段的客户端（不包括192.168.0.99）以外拒绝所有客户端访问Samba服务器上smbtest目录。

[smbtest]       comment = This is smb test       path = /test       hosts deny = ALL      hosts allow = 192.168.0. EXCEPT 192.168.0.99对于使用hosts allow及hosts deny的各种形式，看一个综合例子：只允许192.168.0.0/24、192.168.1.0/24及192.168.2.0/24连接到Samba服务器，只允许.example.com域，但不包括192.168.0.99的客户端访问名为smbtest的共享目录，只允许192.168.1.0/24的客户端访问名为smbtest1的共享。
（1）在[global]标签下加入如下参数。
[global]       hosts allow = lo 192.168.0. 192.168.1. 192.168.2.  （2）在具体共享资源中加入如下参数。（2）在具体共享资源中加入如下参数。
[smbtest]       comment = This is smb test       path = /test       hosts allow = .example.com EXCEPT 192.168.0.99   [smbtest1]       comment = This is smb test1       path = /test1       hosts allow = 192.168.1.